Freigeben über


Proxy- und Firewalleinstellungen der Azure-Dateisynchronisierung

Die Azure-Dateisynchronisierung verbindet Ihre lokalen Server mit Azure Files, wodurch Synchronisierung für mehrere Standorte und Cloudtiering-Funktionalität ermöglicht werden. Daher muss ein lokaler Server eine Verbindung mit dem Internet haben. Ein IT-Administrator muss den besten Weg festlegen, auf dem der Server zu den Azure-Clouddiensten gelangt.

Dieser Artikel gibt einen Einblick in die speziellen Anforderungen und Optionen, die verfügbar sind, um Ihren Server mit der Azure-Dateisynchronisierung erfolgreich und sicher zu verbinden.

Wir empfehlen Ihnen, vor dem Lesen dieses Leitfadens den Artikel Azure-Dateisynchronisierung – Überlegungen zum Netzwerkbetrieb zu lesen.

Übersicht

Die Azure-Dateisynchronisierung fungiert als Orchestrierungsdienst zwischen Ihrem Windows-Server, Ihrer Azure-Dateifreigabe und mehreren anderen Azure-Diensten, um Daten so zu synchronisieren, wie dies in Ihrer Synchronisierungsgruppe beschrieben ist. Damit die Azure-Dateisynchronisierung einwandfrei funktioniert, müssen Sie Ihre Server so konfigurieren, dass sie mit den folgenden Azure-Diensten kommunizieren:

  • Azure Storage
  • Azure-Dateisynchronisierung
  • Azure Resource Manager
  • Authentifizierungsdienste

Hinweis

Der Azure-Dateisynchronisierungs-Agent unter Windows Server initiiert alle Anforderungen an die Clouddienste, was dazu führt, dass aus Sicht einer Firewall nur ausgehender Datenverkehr berücksichtigt werden muss. Keiner der Azure-Dienste initiiert eine Verbindung mit dem Azure-Dateisynchronisierungs-Agent.

Ports

Die Azure-Dateisynchronisierung bewegt Dateidaten und Metadaten ausschließlich über HTTPS und erfordert, dass Port 443 für ausgehenden Datenverkehr geöffnet ist. Infolgedessen wird der gesamte Datenverkehr verschlüsselt.

Netzwerke und spezielle Verbindungen mit Azure

Der Azure-Dateisynchronisierungs-Agent hat keine Anforderungen hinsichtlich spezieller Kanäle wie ExpressRoute usw. zu Azure.

Die Azure-Dateisynchronisierung nutzt alle verfügbaren Mittel, die eine Verbindung zu Azure ermöglichen, und passt sich automatisch an Netzwerkeigenschaften wie Bandbreite und Wartezeit an, wobei der Administrator die Feinabstimmung vornehmen kann.

Proxy

Die Azure-Dateisynchronisierung unterstützt App-spezifische und computerweite Proxyeinstellungen.

App-spezifische Proxyeinstellungen ermöglichen es, einen Proxy speziell für den Datenverkehr der Azure-Dateisynchronisierung zu konfigurieren. App-spezifische Proxy-Einstellungen werden ab Version 4.0.1.0 des Agents unterstützt und können während der Installation des Agents oder mit dem PowerShell-Cmdlet Set-StorageSyncProxyConfiguration konfiguriert werden. Verwenden Sie das Cmdlet Get-StorageSyncProxyConfiguration, um Proxyeinstellungen zurückzugeben, die derzeit konfiguriert sind. Ein leeres Ergebnis gibt an, dass keine Proxyeinstellungen konfiguriert sind. Verwenden Sie das Cmdlet Remove-StorageSyncProxyConfiguration, um die vorhandene Proxykonfiguration zu entfernen.

PowerShell-Befehle zum Konfigurieren von App-spezifischen Proxyeinstellungen:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Set-StorageSyncProxyConfiguration -Address <url> -Port <port number> -ProxyCredential <credentials>

Wenn Ihr Proxyserver z. B. eine Authentifizierung mit einem Benutzernamen und einem Kennwort erfordert, führen Sie die folgenden PowerShell-Befehle aus:

# IP address or name of the proxy server.
$Address="http://127.0.0.1"

# The port to use for the connection to the proxy.
$Port=8080

# The user name for a proxy.
$UserName="user_name"

# Please type or paste a string with a password for the proxy.
$SecurePassword = Read-Host -AsSecureString

$Creds = New-Object System.Management.Automation.PSCredential ($UserName, $SecurePassword)

# Please verify that you have entered the password correctly.
Write-Host $Creds.GetNetworkCredential().Password

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"

Set-StorageSyncProxyConfiguration -Address $Address -Port $Port -ProxyCredential $Creds

Die computerweiten Proxyeinstellungen sind für den Azure-Dateisynchronisierungs-Agent transparent, da der gesamte Datenverkehr des Servers über den Proxy geleitet wird.

Um computerweite Proxyeinstellungen zu konfigurieren, führen Sie in die folgenden Schritte aus:

  1. Konfigurieren von Proxyeinstellungen für .NET-Anwendungen

    • Bearbeiten Sie diese beiden Dateien:
      C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
      C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\machine.config

    • Fügen Sie den Abschnitt <system.net> in den Dateien „machine.config“ (unter dem Abschnitt <system.serviceModel>) hinzu. Ändern Sie 127.0.01:8888 in die IP-Adresse und den Port des Proxyservers.

      <system.net>
         <defaultProxy enabled="true" useDefaultCredentials="true">
           <proxy autoDetect="false" bypassonlocal="false" proxyaddress="http://127.0.0.1:8888" usesystemdefault="false" />
         </defaultProxy>
      </system.net>
      
  2. Festlegen der WinHTTP-Proxyeinstellungen

    Hinweis

    Es gibt mehrere Methoden (WPAD, PAC-Datei, Netsh usw.), um einen Windows Server für die Verwendung eines Proxyservers zu konfigurieren. In den folgenden Schritten wird beschrieben, wie Sie die Proxy-Einstellungen mithilfe von netsh konfigurieren, aber jede Methode, die in der Dokumentation Konfigurieren von Proxy-Servereinstellungen in Windows aufgeführt ist, wird unterstützt.

    • Führen Sie den folgenden Befehl in einer Eingabeaufforderung mit erhöhten Rechten oder in PowerShell aus, um die vorhandene Proxyeinstellung anzuzeigen:

      netsh winhttp show proxy

    • Führen den folgenden Befehl in einer Eingabeaufforderung mit erhöhten Rechten oder in PowerShell aus, um die Proxyeinstellung festzulegen (ändern Sie 127.0.01:8888 in die IP-Adresse und den Port für den Proxyserver):

      netsh winhttp set proxy 127.0.0.1:8888

  3. Starten Sie den Storage-Synchronisierungs-Agent-Dienst neu, indem Sie den folgenden Befehl in einer Eingabeaufforderung mit erhöhten Rechten oder in PowerShell ausführen:

    net stop filesyncsvc

    Hinweis: Der Storage-Synchronisierungs-Agent-Dienst (filesyncsvc) wird automatisch gestartet, nachdem er beendet wurde.

Firewall

Wie in einem vorhergehenden Abschnitt erwähnt, muss Port 443 für ausgehenden Datenverkehr geöffnet sein. Entsprechend den Richtlinien in Ihrem Rechenzentrum, Ihrer Niederlassung oder Ihrer Region kann eine weitere Beschränkung des Datenverkehrs über diesen Port auf bestimmte Domänen erwünscht oder erforderlich sein.

In der folgenden Tabelle sind die für eine Kommunikation erforderlichen Domänen beschrieben:

Dienst Öffentlicher Cloudendpunkt Azure Government-Endpunkt Verwendung
Azure Resource Manager https://management.azure.com https://management.usgovcloudapi.net Jeder Benutzeraufruf (etwa PowerShell) geht an/über diese URL, dazu gehört auch der erstmalige Serverregistrierungsaufruf.
Microsoft Entra ID https://login.windows.net
https://login.microsoftonline.com
https://aadcdn.msftauth.net
https://login.microsoftonline.us Azure Resource Manager-Aufrufe müssen von einem authentifizierten Benutzer vorgenommen werden. Um erfolgreich zu sein, wird diese URL für die Benutzerauthentifizierung verwendet.
Microsoft Entra ID https://graph.microsoft.com/ https://graph.microsoft.com/ Im Rahmen der Bereitstellung der Azure-Dateisynchronisierung wird ein Dienstprinzipal in Microsoft Entra ID des Abonnements erstellt. Diese URL wird dazu verwendet. Dieser Prinzipal wird dazu verwendet, einen minimalen Satz von Berechtigungen an den Azure-Dateisynchronisierungsdienst zu delegieren. Der Benutzer, der die erste Einrichtung der Azure-Dateisynchronisierung ausführt, muss ein authentifizierter Benutzer mit Abonnementbesitzerberechtigungen sein.
Microsoft Entra ID https://secure.aadcdn.microsoftonline-p.com https://secure.aadcdn.microsoftonline-p.com
(entspricht der URL des Endpunkts der öffentlichen Cloud)
Auf diese URL wird von der Active Directory-Authentifizierungsbibliothek zugegriffen, die von der Benutzeroberfläche für die Registrierung beim Azure-Dateisynchronisierungsserver zum Anmelden des Administrators verwendet wird.
Azure Storage (in englischer Sprache) *.core.windows.net *.core.usgovcloudapi.net Beim Herunterladen einer Datei auf dem Server wird diese Datenverschiebung effizienter ausgeführt, wenn eine direkte Verbindung zwischen dem Server und der Azure-Dateifreigabe im Speicherkonto besteht. Der Server hat einen SAS-Schlüssel, der nur gezielten Dateifreigabezugriff zulässt.
Azure-Dateisynchronisierung *.one.microsoft.com
*.afs.azure.net
*.afs.azure.us Nach der erstmaligen Serverregistrierung erhält der Server eine regionale URL für die Azure-Dateisynchronisierungs-Dienstinstanz in dieser Region. Der Server kann über die URL direkt und effizient mit der Instanz kommunizieren, die seine Synchronisierung verwaltet.
Microsoft PKI https://www.microsoft.com/pki/mscorp/cps
http://crl.microsoft.com/pki/mscorp/crl/
http://mscrl.microsoft.com/pki/mscorp/crl/
http://ocsp.msocsp.com
http://ocsp.digicert.com/
http://crl3.digicert.com/
https://www.microsoft.com/pki/mscorp/cps
http://crl.microsoft.com/pki/mscorp/crl/
http://mscrl.microsoft.com/pki/mscorp/crl/
http://ocsp.msocsp.com
http://ocsp.digicert.com/
http://crl3.digicert.com/
Sobald der Agent für die Azure-Dateisynchronisierung installiert ist, werden über die PKI-URL Zwischenzertifikate heruntergeladen, die für die Kommunikation mit dem Azure-Dateisynchronisierungsdienst und der Azure-Dateifreigabe erforderlich sind. Mithilfe der OCSP-URL wird der Status eines Zertifikats überprüft.
Microsoft Update *.update.microsoft.com
*.download.windowsupdate.com
*.ctldl.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
*.update.microsoft.com
*.download.windowsupdate.com
*.ctldl.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
Nachdem der Azure-Dateisynchronisierungs-Agent installiert wurde, werden Updates für diesen über die Microsoft Update-URLs heruntergeladen.

Wichtig

Wenn Datenverkehr über *.afs.azure.net zugelassen wird, ist er nur für den Synchronisierungsdienst möglich. Es gibt keine anderen Microsoft-Dienste, die diese Domäne verwenden. Wenn Datenverkehr über *.one.microsoft.com zugelassen wird, kann Datenverkehr vom Server nicht nur an den Synchronisierungsdienst, sondern auch an weitere Stellen gesendet werden. Es gibt viele weitere Microsoft-Dienste unter Unterdomänen.

Wenn „*.afs.azure.net“ oder „*.one.microsoft.com“ zu ausgedehnt ist, können Sie die Kommunikation des Servers begrenzen, indem Sie eine Kommunikation nur für explizite regionale Instanzen des Azure-Dateisynchronisierung-Diensts zulassen. Welche Instanz(en) ausgewählt werden muss/müssen, hängt von der Region des Speichersynchronisierungsdienst ab, für den Sie den Server bereitgestellt und registriert haben. Diese Region heißt in der folgenden Tabelle „Primäre Endpunkt-URL“.

Für Business Continuity und Disaster Recovery (BCDR) haben Sie Ihre Azure-Dateifreigaben möglicherweise in einem Speicherkonto erstellt, dass für die georedundante Speicherung (GRS) konfiguriert ist. Wenn das der Fall ist, werden Ihre Azure-Dateifreigaben im Falle eines dauerhaften regionalen Ausfalls auf die gekoppelte Region übertragen. Die Azure-Dateisynchronisierung verwendet die gleichen regionalen Kombinationen als Speicher. Wenn Sie also GRS-Speicherkonten verwenden, müssen Sie zusätzliche URLs aktivieren, damit Ihr Server mit der gekoppelten Region für die Azure-Dateisynchronisierung kommunizieren kann. In der folgenden Tabelle wird dies als „gekoppelte Region“ bezeichnet. Darüber hinaus muss eine Traffic Manager-Profil-URL aktiviert werden. Dadurch wird sichergestellt, dass der Netzwerkverkehr im Falle eines Failover nahtlos zur gekoppelten Region umgeleitet werden kann. Dies wird in der nachstehenden Tabelle als „Ermittlungs-URL“ bezeichnet.

Cloud Region URL des primären Endpunkts Regionspaar Ermittlungs-URL
Öffentlich Australien (Osten) https://australiaeast01.afs.azure.net
https://kailani-aue.one.microsoft.com
Australien, Südosten https://tm-australiaeast01.afs.azure.net
https://tm-kailani-aue.one.microsoft.com
Öffentlich Australien, Südosten https://australiasoutheast01.afs.azure.net
https://kailani-aus.one.microsoft.com
Australien (Osten) https://tm-australiasoutheast01.afs.azure.net
https://tm-kailani-aus.one.microsoft.com
Öffentlich Brasilien Süd https://brazilsouth01.afs.azure.net USA Süd Mitte https://tm-brazilsouth01.afs.azure.net
Öffentlich Kanada, Mitte https://canadacentral01.afs.azure.net
https://kailani-cac.one.microsoft.com
Kanada, Osten https://tm-canadacentral01.afs.azure.net
https://tm-kailani-cac.one.microsoft.com
Öffentlich Kanada, Osten https://canadaeast01.afs.azure.net
https://kailani-cae.one.microsoft.com
Kanada, Mitte https://tm-canadaeast01.afs.azure.net
https://tm-kailani.cae.one.microsoft.com
Öffentlich Indien, Mitte https://centralindia01.afs.azure.net
https://kailani-cin.one.microsoft.com
Indien (Süden) https://tm-centralindia01.afs.azure.net
https://tm-kailani-cin.one.microsoft.com
Öffentlich USA (Mitte) https://centralus01.afs.azure.net
https://kailani-cus.one.microsoft.com
USA (Ost) 2 https://tm-centralus01.afs.azure.net
https://tm-kailani-cus.one.microsoft.com
Microsoft Azure von 21Vianet China, Osten 2 https://chinaeast201.afs.azure.cn China, Norden 2 https://tm-chinaeast201.afs.azure.cn
Microsoft Azure von 21Vianet China, Norden 2 https://chinanorth201.afs.azure.cn China, Osten 2 https://tm-chinanorth201.afs.azure.cn
Öffentlich Asien, Osten https://eastasia01.afs.azure.net
https://kailani11.one.microsoft.com
Asien, Südosten https://tm-eastasia01.afs.azure.net
https://tm-kailani11.one.microsoft.com
Öffentlich East US https://eastus01.afs.azure.net
https://kailani1.one.microsoft.com
USA (Westen) https://tm-eastus01.afs.azure.net
https://tm-kailani1.one.microsoft.com
Öffentlich USA (Ost) 2 https://eastus201.afs.azure.net
https://kailani-ess.one.microsoft.com
USA (Mitte) https://tm-eastus201.afs.azure.net
https://tm-kailani-ess.one.microsoft.com
Öffentlich Deutschland, Norden https://germanynorth01.afs.azure.net Deutschland, Westen-Mitte https://tm-germanywestcentral01.afs.azure.net
Öffentlich Deutschland, Westen-Mitte https://germanywestcentral01.afs.azure.net Deutschland, Norden https://tm-germanynorth01.afs.azure.net
Öffentlich Japan, Osten https://japaneast01.afs.azure.net Japan, Westen https://tm-japaneast01.afs.azure.net
Öffentlich Japan, Westen https://japanwest01.afs.azure.net Japan, Osten https://tm-japanwest01.afs.azure.net
Öffentlich Korea, Mitte https://koreacentral01.afs.azure.net/ Korea, Süden https://tm-koreacentral01.afs.azure.net/
Öffentlich Korea, Süden https://koreasouth01.afs.azure.net/ Korea, Mitte https://tm-koreasouth01.afs.azure.net/
Öffentlich USA Nord Mitte https://northcentralus01.afs.azure.net USA Süd Mitte https://tm-northcentralus01.afs.azure.net
Öffentlich Nordeuropa https://northeurope01.afs.azure.net
https://kailani7.one.microsoft.com
Europa, Westen https://tm-northeurope01.afs.azure.net
https://tm-kailani7.one.microsoft.com
Öffentlich USA Süd Mitte https://southcentralus01.afs.azure.net USA Nord Mitte https://tm-southcentralus01.afs.azure.net
Öffentlich Indien (Süden) https://southindia01.afs.azure.net
https://kailani-sin.one.microsoft.com
Indien, Mitte https://tm-southindia01.afs.azure.net
https://tm-kailani-sin.one.microsoft.com
Öffentlich Asien, Südosten https://southeastasia01.afs.azure.net
https://kailani10.one.microsoft.com
Asien, Osten https://tm-southeastasia01.afs.azure.net
https://tm-kailani10.one.microsoft.com
Öffentlich Schweiz, Norden https://switzerlandnorth01.afs.azure.net
https://tm-switzerlandnorth01.afs.azure.net
Schweiz, Westen https://switzerlandwest01.afs.azure.net
https://tm-switzerlandwest01.afs.azure.net
Öffentlich Schweiz, Westen https://switzerlandwest01.afs.azure.net
https://tm-switzerlandwest01.afs.azure.net
Schweiz, Norden https://switzerlandnorth01.afs.azure.net
https://tm-switzerlandnorth01.afs.azure.net
Öffentlich VAE, Mitte https://uaecentral01.afs.azure.net Vereinigte Arabische Emirate, Norden https://tm-uaecentral01.afs.azure.net
Öffentlich Vereinigte Arabische Emirate, Norden https://uaenorth01.afs.azure.net VAE, Mitte https://tm-uaenorth01.afs.azure.net
Öffentlich UK, Süden https://uksouth01.afs.azure.net
https://kailani-uks.one.microsoft.com
UK, Westen https://tm-uksouth01.afs.azure.net
https://tm-kailani-uks.one.microsoft.com
Öffentlich UK, Westen https://ukwest01.afs.azure.net
https://kailani-ukw.one.microsoft.com
UK, Süden https://tm-ukwest01.afs.azure.net
https://tm-kailani-ukw.one.microsoft.com
Öffentlich USA, Westen-Mitte https://westcentralus01.afs.azure.net USA, Westen 2 https://tm-westcentralus01.afs.azure.net
Öffentlich Europa, Westen https://westeurope01.afs.azure.net
https://kailani6.one.microsoft.com
Nordeuropa https://tm-westeurope01.afs.azure.net
https://tm-kailani6.one.microsoft.com
Öffentlich USA (Westen) https://westus01.afs.azure.net
https://kailani.one.microsoft.com
East US https://tm-westus01.afs.azure.net
https://tm-kailani.one.microsoft.com
Öffentlich USA, Westen 2 https://westus201.afs.azure.net USA, Westen-Mitte https://tm-westus201.afs.azure.net
Behörden US Gov Arizona https://usgovarizona01.afs.azure.us US Gov Texas https://tm-usgovarizona01.afs.azure.us
Behörden US Gov Texas https://usgovtexas01.afs.azure.us US Gov Arizona https://tm-usgovtexas01.afs.azure.us
  • Wenn Sie ein Speicherkonto verwenden, das für die lokale redundante Speicherung (LRS) oder für die zonenredundante Speicherung (ZRS) konfiguriert ist, müssen Sie nur die unter „URL des primären Endpunkts“ aufgeführte URL aktivieren.

  • Wenn Sie ein Speicherkonto verwenden, das für die georedundante Speicherung (GRS) konfiguriert ist, müssen Sie drei URLs aktivieren.

Beispiel: Sie stellen einen Speichersynchronisierungsdienst in "West US" bereit und registrieren damit Ihren Server. Die URLs, mit denen der Server in diesem Fall kommunizieren kann, sind:

  • https://westus01.afs.azure.net (primärer Endpunkt: USA, Westen)
  • https://eastus01.afs.azure.net (gekoppelte Failoverregion: USA, Osten)
  • https://tm-westus01.afs.azure.net (Ermittlungs-URL der primären Region)

Zulassungsliste für Azure-Dateisynchronisierungs-IP-Adressen

Die Azure-Dateisynchronisierung unterstützt die Verwendung von Diensttags, die eine Gruppe von IP-Adresspräfixen für einen bestimmten Azure-Dienst darstellen. Sie können Diensttags verwenden, um Firewallregeln zu erstellen, die die Kommunikation mit dem Azure-Dateisynchronisierungsdienst ermöglichen. Das Diensttag für die Azure-Dateisynchronisierung ist StorageSyncService.

Wenn Sie die Azure-Dateisynchronisierung innerhalb von Azure verwenden, können Sie den Namen des Diensttags direkt in Ihrer Netzwerksicherheitsgruppe verwenden, um den Datenverkehr zuzulassen. Weitere Informationen zur Vorgehensweise finden Sie unter Netzwerksicherheitsgruppen.

Wenn Sie DIE Azure-Dateisynchronisierung lokal verwenden, können Sie die API für Diensttags verwenden, um bestimmte IP-Adressbereiche für die Zulassungsliste Ihrer Firewall zu erhalten. Es gibt zwei Methoden zum Abrufen dieser Informationen:

Da die API zur Ermittlung von Diensttags möglicherweise nicht so häufig aktualisiert wird wie die JSON-Dokumente, die im Microsoft Download Center veröffentlicht werden, empfehlen wir die Verwendung des JSON-Dokuments zur Aktualisierung der Zulassungsliste Ihrer lokalen Firewall. Gehen Sie dazu folgendermaßen vor:

# The specific region to get the IP address ranges for. Replace westus2 with the desired region code 
# from Get-AzLocation.
$region = "westus2"

# The service tag for Azure File Sync. Don't change unless you're adapting this
# script for another service.
$serviceTag = "StorageSyncService"

# Download date is the string matching the JSON document on the Download Center. 
$possibleDownloadDates = 0..7 | `
    ForEach-Object { [System.DateTime]::Now.AddDays($_ * -1).ToString("yyyyMMdd") }

# Verify the provided region
$validRegions = Get-AzLocation | `
    Where-Object { $_.Providers -contains "Microsoft.StorageSync" } | `
    Select-Object -ExpandProperty Location

if ($validRegions -notcontains $region) {
    Write-Error `
            -Message "The specified region $region isn't available. Either Azure File Sync isn't deployed there or the region doesn't exist." `
            -ErrorAction Stop
}

# Get the Azure cloud. This should automatically based on the context of 
# your Az PowerShell login, however if you manually need to populate, you can find
# the correct values using Get-AzEnvironment.
$azureCloud = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty Name

# Build the download URI
$downloadUris = @()
switch($azureCloud) {
    "AzureCloud" { 
        $downloadUris = $possibleDownloadDates | ForEach-Object {  
            "https://download.microsoft.com/download/7/1/D/71D86715-5596-4529-9B13-DA13A5DE5B63/ServiceTags_Public_$_.json"
        }
    }

    "AzureUSGovernment" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/6/4/D/64DB03BF-895B-4173-A8B1-BA4AD5D4DF22/ServiceTags_AzureGovernment_$_.json"
        }
    }

    "AzureChinaCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/9/D/0/9D03B7E2-4B80-4BF3-9B91-DA8C7D3EE9F9/ServiceTags_China_$_.json"
        }
    }

    "AzureGermanCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/0/7/6/076274AB-4B0B-4246-A422-4BAF1E03F974/ServiceTags_AzureGermany_$_.json"
        }
    }

    default {
        Write-Error -Message "Unrecognized Azure Cloud: $_" -ErrorAction Stop
    }
}

# Find most recent file
$found = $false 
foreach($downloadUri in $downloadUris) {
    try { $response = Invoke-WebRequest -Uri $downloadUri -UseBasicParsing } catch { }
    if ($response.StatusCode -eq 200) {
        $found = $true
        break
    }
}

if ($found) {
    # Get the raw JSON 
    $content = [System.Text.Encoding]::UTF8.GetString($response.Content)

    # Parse the JSON
    $serviceTags = ConvertFrom-Json -InputObject $content -Depth 100

    # Get the specific $ipAddressRanges
    $ipAddressRanges = $serviceTags | `
        Select-Object -ExpandProperty values | `
        Where-Object { $_.id -eq "$serviceTag.$region" } | `
        Select-Object -ExpandProperty properties | `
        Select-Object -ExpandProperty addressPrefixes
} else {
    # If the file cannot be found, that means there hasn't been an update in
    # more than a week. Please verify the download URIs are still accurate
    # by checking https://learn.microsoft.com/azure/virtual-network/service-tags-overview
    Write-Verbose -Message "JSON service tag file not found."
    return
}

Anschließend können Sie die IP-Adressbereiche in $ipAddressRanges verwenden, um Ihre Firewall zu aktualisieren. Auf der Website Ihrer Firewall-/Netzwerkappliance finden Sie Informationen zum Aktualisieren der Firewall.

Testen der Netzwerkkonnektivität mit Dienstendpunkten

Nach der Registrierung eines Servers beim Azure-Dateisynchronisierungsdienst können das Cmdlet Test-StorageSyncNetworkConnectivity und die Datei „ServerRegistration.exe“ dazu verwendet werden, die Kommunikation mit allen für diesen Server spezifischen Endpunkten (URLs) zu testen. Dieses Cmdlet kann Sie bei der Problembehandlung unterstützen, wenn unvollständige Kommunikation den Server daran hindert, vollständig mit der Azure-Dateisynchronisierung zu arbeiten. Es kann außerdem zum Optimieren der Proxy- und Firewallkonfigurationen verwendet werden.

Führen Sie die folgenden PowerShell-Befehle aus, um den Netzwerkkonnektivitätstest auszuführen:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Test-StorageSyncNetworkConnectivity

Wenn der Test fehlschlägt, sammeln Sie WinHTTP-Debugablaufverfolgungen zur Problembehandlung: netsh trace start scenario=InternetClient_dbg capture=yes overwrite=yes maxsize=1024

Führen Sie den Netzwerkkonnektivitätstest erneut aus, und beenden Sie dann die Erfassung der Ablaufverfolgungen: netsh trace stop

Fügen Sie die generierte NetTrace.etl-Datei in ein ZIP-Archiv ein, öffnen Sie einen Supportfall, und senden Sie die Datei an den Support.

Zusammenfassung und Risikobegrenzung

Die Listen weiter oben in diesem Dokument enthalten die URLs, mit denen die Azure-Dateisynchronisierung derzeit kommuniziert. Firewalls müssen in der Lage sein, ausgehenden Datenverkehr zu diesen Domänen zuzulassen. Microsoft ist bestrebt, diese Liste auf dem neuesten Stand zu halten.

Ein Einrichten von domäneneinschränkenden Firewallregeln kann eine Maßnahme sein, die Sicherheit zu verbessern. Wenn Sie diese Firewall-Konfigurationen verwenden, müssen Sie bedenken, dass URLs hinzugefügt und im Verlauf der Zeit vielleicht geändert werden. Lesen Sie diesen Artikel in regelmäßigen Abständen.

Nächste Schritte